США можуть отримати дані з хмар навіть в ЄС — кажуть експерти

Новий юридичний висновок, підготовлений експертами Кельнського університету на замовлення Міністерства внутрішніх справ Німеччини, виявляє вкрай неприємний для Європи факт: американські спецслужби можуть отримувати доступ до даних, навіть якщо вони зберігаються у дата-центрах на території ЄС.

Такі механізми закладено у законах Cloud Act та FISA 702, які фактично розмивають межі юрисдикцій та ставлять під сумнів ідею цифрового суверенітету інших країн. Для європейських компаній це важливий сигнал: нинішня модель залежності від американських хмар несе системні ризики, які вже неможливо ігнорувати. Деталі дослідження стали публічними в межах запиту за законом IFG та посилили напруженість дискусії про цифровий суверенітет ЄС.

Локація не має значення

Ключовий висновок звіту в тому, що положення Stored Communications Act, доповнені Cloud Act, а також розділ 702 FISA дозволяють спецслужбам США вимагати розкриття даних у хмарних провайдерів незалежно від того, де фізично розташовані сервери. Визначальним фактором є не місце знаходження дата-центру, а корпоративний контроль над інфраструктурою. Якщо американська материнська компанія зберігає управління, то й дані, розміщені в ЄС, нвіть якщо вони формально обслуговуються локальними «дочками», можуть бути запитані (та отримані) державними органами США.

Експерти також зазначають, що американська юрисдикція може поширюватися на європейські компанії, які не входять до структури американських корпорацій, якщо вони мають суттєві ділові зв’язки зі США. У результаті ризик прямого або опосередкованого доступу до даних охоплює широке коло операторів внутрішнього ринку ЄС. 

Технічні методи захисту, такі як шифрування, не гарантують юридичної недоторканності даних. Американське процесуальне право вимагає зберігати потенційно значущу інформацію ще до початку судового розгляду, а відмова виконати вимогу про передачу даних може призвести до штрафів або кримінальної відповідальності для провайдера.

В ЄС регулятори, спираючись на положення GDPR, можуть забороняти передачу даних органам третіх країн, однак чинна рамка EU-US Data Privacy Framework залишається юридично нестійкою. Висновок підкреслює, що глобальний масштаб дії американського права вступає у прямий конфлікт з європейськими стандартами захисту даних, що робить розвиток власних хмарних альтернатив стратегічною необхідністю.

Окремий розділ присвячено корпоративним сервісам, зокрема Microsoft 365. На думку авторів аналізу, дотримання вимог GDPR при їх використанні залишається можливим, оскільки екстериторіальні повноваження США самі по собі не свідчать про ненадійність провайдера. Проте організації зобов’язані суворо виконувати вимоги щодо комплаєнсу та проводити оцінку впливу на захист даних у випадку підвищених ризиків. Водночас частина експертів вважає такі висновки надто оптимістичними.

Що це означає для України

Для нашої країни вплив Cloud Act перетворюється на практичний ризик, особливо в умовах війни та часткової релокації цифрових сервісів за кордон. Закон дозволяє американській владі вимагати дані від хмарних провайдерів, які перебувають під юрисдикцією США, незалежно від місця зберігання. Це означає, що навіть якщо українські компанії розміщують дані в європейських регіонах гіперскейлерів, критична інформація формально залишається доступною для американських держструктур.

Така ситуація створює юридичну колізію та вступає в пряме протиріччя з українським законодавством про захист персональних даних та зобов’язаннями щодо гармонізації з GDPR. Країна рухається у бік європейської моделі, однак використовувані інфраструктури можуть залишатися під дією іноземної юрисдикції, непідконтрольної ні Києву, ні Брюсселю, що суперечить загальній логіці захисту даних. В умовах війни питання набуває додаткової чутливості, оскільки потенційний доступ третьої країни до даних про населення, логістику, фінанси чи оборонні процеси стає елементом національної безпеки. 

Саме тому в Україні формується запит на локальні суверенні хмари, які працюють виключно за принципами українського й європейського права та виключають вплив зовнішніх держав. Великі провайдери розвивають сервіси, орієнтовані на стандарти GDPR та міжнародні моделі на кшталт VMware Sovereign Cloud, просуваючи ідею зберігання критично важливих даних усередині країни. 

Так чи інакше, представлене висновок демонструє глибокий конфлікт між європейськими нормами захисту даних та фактичними повноваженнями США, який неможливо усунути простим перенесенням серверів на територію Європи або звичайними технічними засобами. 

Допоки американські закони дозволяють вимагати дані від компаній, що перебувають під контролем або впливом США, європейські організації діятимуть в умовах юридичної невизначеності. В результаті головним стратегічним пріоритетом для ЄС та України стає створення власних хмарних екосистем та інструментів, які забезпечать реальний цифровий суверенітет й мінімізують зовнішні правові ризики.